Tuesday, 1. November 2005
Böses PHP
Wie Stefan Esser vom Hardened-PHP Project mitteilt, liegen gleich mehrere Probleme in den aktuellen PHP-Releases sowohl in der 4.4.0 als auch in der 5.0.5 vor. Für die 4er Versionen gibt es bereits ein Bugfix-Release, nämlich Version 4.4.1 (Changelog) - bei meinen morgentlichen Updates war es allerdings noch nicht einmal in Debian Sid aktualisiert.
Offenbar lässt sich das $GLOBALS - Array teilweise überschreiben, auch wenn register_globals in der php.ini auf Off steht (was es ja im besten Fall sollte!). Logischerweise werden natürlich besonders PEAR und vBulletin im Advisory erwähnt, wo ich doch beides sehr aktiv einsetze. Normal
Wie das Überschreiben der Var's dann konkret aussieht, wird auch gleich beschrieben.
Spontan hat mich dieser Bug in PHP auch dazu angeregt, mir direkt mal Hardened-PHP genauer anzuschauen bzw. zu Überlegungen geführt, das auch in meinen Produktivumgebungen einzusetzen. Allerdings habe ich dazu bislang keine Erfahrungsberichte gelesen. Kann da jemand mit Erfahrungen prahlen?
Für mich heisst das auf jeden Fall in den nächsten Tagen etwas Arbeit durch Updates auf diversen Servern. der eAccelerator muss ja in den meisten Fällen auch wieder neu kompiliert werden ...
PS: Für alle, die noch in der Sommerzeit leben: Bitte schnell ntpdate ntp.ubuntulinux.org ausführen! Ich habe die Stunde an "Mehrschlaf" auf jeden Fall genossen. Nach dem Aufstehen war ich dann auch erfreut zu sehen, dass sämtliche wichtigen Server automatisch die Zeit aktualisiert hatten ...
Offenbar lässt sich das $GLOBALS - Array teilweise überschreiben, auch wenn register_globals in der php.ini auf Off steht (was es ja im besten Fall sollte!). Logischerweise werden natürlich besonders PEAR und vBulletin im Advisory erwähnt, wo ich doch beides sehr aktiv einsetze. Normal
Wie das Überschreiben der Var's dann konkret aussieht, wird auch gleich beschrieben.Spontan hat mich dieser Bug in PHP auch dazu angeregt, mir direkt mal Hardened-PHP genauer anzuschauen bzw. zu Überlegungen geführt, das auch in meinen Produktivumgebungen einzusetzen. Allerdings habe ich dazu bislang keine Erfahrungsberichte gelesen. Kann da jemand mit Erfahrungen prahlen?
Für mich heisst das auf jeden Fall in den nächsten Tagen etwas Arbeit durch Updates auf diversen Servern. der eAccelerator muss ja in den meisten Fällen auch wieder neu kompiliert werden ...
PS: Für alle, die noch in der Sommerzeit leben: Bitte schnell ntpdate ntp.ubuntulinux.org ausführen!
Ich habe die Stunde an "Mehrschlaf" auf jeden Fall genossen. Nach dem Aufstehen war ich dann auch erfreut zu sehen, dass sämtliche wichtigen Server automatisch die Zeit aktualisiert hatten ...
Monday, 12. September 2005
ISDN funkt nicht, der Trojaner offenbar schon
Falls Ihr solche Mails bekommt, ist Vorsicht geboten. Zur Zeit werden massiv Spammails mit gefakten eBay-Rechnungen versendet. Als Anhang kommt eine Rechnung.pdf.exe daher, die u.a. einen Keylogger installiert. Nur gut, dass .exe bei mir nur ein Schulterzucken des Pinguins verursacht
Ansich wollte ich eigentich via ISDN online sein, nach 2 Stunden des Testens habe ich es dann auch aufgegeben, für heute. Ich wollte als Fallback-Leitung einen BlueFritz-ISDN-Accesspoint hier einrichten, um bei Ausfall des WLAN trotzdem online gehen zu können. Aber der Kernel will nicht mit dem Bluetooth-USB-Stick sprechen ... vielleicht fällt mir morgen noch was ein
Außerdem hält mich dauernd ein Anruf von "unbekannt" davon ab, der mir mit Computerstimme vorschwärmt, ich hätte 3000 EUR gewonnen. Ich müsse nur eine 0190er Nummer zurückrufen, um den Gewinn zu aktivieren. Ja ne, is klar
Leider ist man gegen solchen Mist recht machtlos. Das Telefon ist nun aber lautlos und ich werde mir einen Film ansehen ...
Kommentare
20.11.2008 12:06
Da bin ich mal [...]
10.10.2008 08:54
Habe auch Inte [...]
02.10.2008 13:58
Das ist wirk [...]
26.09.2008 16:39
Hallo, ich ra [...]
25.09.2008 02:49
wer das knackt [...]